tcpdump使用说明

最新推荐文章于 2022-10-10 10:32:19 发布
最新推荐文章于 2022-10-10 10:32:19 发布
阅读量759 收藏
点赞数
分类专栏: 网络技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaishu/article/details/17077525
版权

tcpdump采用命令行方式,它的命令格式为: 
  tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] 
          [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] 

          [ -T 类型 ] [ -w 文件名 ] [表达式 ] 

 

1. tcpdump的选项介绍 
   -a    将网络地址和广播地址转变成名字; 
   -d    将匹配信息包的代码以人们能够理解的汇编格式给出; 
   -dd    将匹配信息包的代码以c语言程序段的格式给出; 
   -ddd    将匹配信息包的代码以十进制的形式给出; 
   -e    在输出行打印出数据链路层的头部信息; 
   -f    将外部的Internet地址以数字的形式打印出来; 
   -l    使标准输出变为缓冲行形式; 
   -n    不把网络地址转换成名字; 
   -t    在输出的每一行不打印时间戳; 
   -v    输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息; 
   -vv    输出详细的报文信息; 
   -c    在收到指定的包的数目后,tcpdump就会停止; 
   -F    从指定的文件中读取表达式,忽略其它的表达式; 
   -i    指定监听的网络接口; 
   -r    从指定的文件中读取包(这些包一般通过-w选项产生); 
   -w    直接将包写入文件中,并不分析和打印出来; 
   -T    将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;) 

2. tcpdump的表达式介绍 
1、抓取回环网口的包:tcpdump -i lo

2、防止包截断:tcpdump -s0

3、以数字显示主机及端口:tcpdump -n

第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.

第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字,则缺省是src or dst关键字。

第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议,实际上它是"ether"的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&;或运算 是'or' ,'||';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
3. tcpdump 的输出结果介绍 
   下面我们介绍几种典型的tcpdump命令的输出信息 
   (1) 数据链路层头信息 
   使用命令#tcpdump --e host ice 
   ice 是一台装有linux的主机,她的MAC地址是0:90:27:58:AF:1A 
   H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:0:20:79:5B:46;上一条 命令的输出结果如下所示: 

21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 >; ice. telnet 0:0(0) ack 22535 win 8760 (DF)

  分析:

21:50:12是显示的时间, 
847509是ID号,
eth0 <表示从网络接口eth0 接受该数据包,
eth0 >;表示从网络接口设备发送数据包, 
8:0:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包.
0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . 
ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 >; 
ice. telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. 
ack 22535 表明对序列号是222535的包进行响应. 
win 8760表明发送窗口的大小是8760.

  (2) ARP包的TCPDUMP输出信息 
   使用命令#tcpdump arp  
   得到的输出结果是: 
  22:32:42.802509 eth0 >; arp who-has route tell ice (0:90:27:58:af:1a) 
  22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a) 

分析: 

22:32:42是时间戳, 
802509是ID号, 
eth0 >;表明从主机发出该数据包, 
arp表明是ARP请求包,
who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。
0:90:27:58:af:1a是主机ICE的MAC地址。

(3) TCP包的输出信息 
   用TCPDUMP捕获的TCP包的一般输出信息是: 
  src >; dst: flags data-seqno ack window urgent options 

src >; 
dst:表明从源地址到目的地址, 
flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记 确认包); 
data-seqno是数据包中的数据的顺序号,
ack是 下次期望的顺序号, 
window是接收缓存的窗口大小, 
urgent表明数据包中是否有紧急指针.  
Options是选项. 

例如:
localhost.9501: Flags [P.], seq 1:5, ack 1, win 342, length 4
localhost.9501: Flags [F.], seq 5, ack 13, win 342, length 0
localhost.9501: Flags [.], ack 14, win 342, options [nop,nop,TS val 2208457 ecr 2208457], length 0

[S] 表示这是一个SYN请求
[.] 表示这是一个ACK确认包,(client)SYN->(server)SYN->(client)ACK 就是3次握手过程
[P] 表示这个是一个数据推送,可以是从服务器端向客户端推送,也可以从客户端向服务器端推
[F] 表示这是一个FIN包,是关闭连接操作,client/server都有可能发起
[R] 表示这是一个RST包,与F包作用相同,但RST表示连接关闭时,仍然有数据未被处理。可以理解为是强制切断连接

win 342是指滑动窗口大小

length 12指数据包的大小

  (4) UDP包的输出信息 
   用TCPDUMP捕获的UDP包的一般输出信息是: 
  route.port1 >; ice.port2: udp lenth 
  UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机 ICE的port2端口,类型是UDP, 包的长度是lenth

常用命令:

A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包:
#tcpdump host 210.27.48.1

B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)

C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdump tcp port 23 host 210.27.48.1

E 对本机的udp 123 端口进行监视 123 为ntp的服务端口
# tcpdump udp port 123

F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机,也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据: 

#tcpdump -i eth0 src host hostname

G 下面的命令可以监视所有送到主机hostname的数据包: 

#tcpdump -i eth0 dst host hostname

H  我们还可以监视通过指定网关的数据包: 
#tcpdump -i eth0 gateway Gatewayname

I 如果你还想监视编址到指定端口的TCP或UDP数据包,那么执行以下命令: 
#tcpdump -i eth0 host hostname and port 80

J 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中适用 括号时,一定要
#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)

L 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
 #tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
 #tcpdump tcp port 23 host 210.27.48.1

如果条件很多的话  要在条件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
如果在ethernet 使用混杂模式 系统的日志将会记录
May  7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May  7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May  7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中,然后再使用其他程序进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。

# tcpdump   -i eth1 src  host 211.167.237.199
00:02:03.096713 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010208:2010352(144) ack 33377 win 8576
00:02:03.096951 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010352:2010496(144) ack 33377 win 8576
00:02:03.100928 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010496:2010640(144) ack 33377 win 8576
00:02:03.101165 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010640:2010784(144) ack 33377 win 8576
00:02:03.102554 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 2010784:2010928(144) ack 33425 win 8576

表明在00:02:03点的时候,211.167.237.199通过ssh源端口连接到221.216.165.189的1467端口

#tcpdump -i eth1 src host 211.167.237.199 and dst port 1467
00:09:27.603075 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180400:180544(144) ack 2833 win 8576
00:09:27.605631 IP 211.167.237.199.ssh > 221.216.165.189.1467: P 180544:180688(144) ack 2881 win 8576

P 180544:180688(144) ack 2881 win 8576 

格式描述:推送字节从180544:180688 长度144  确认序号2881 窗口8576

截获所有由eth0进入、源地址(src)为192.168.0.5的主机(host),并且(and)目标(dst)端口(port)为80的数据包

观看网卡传送、接收数据包的状态
$ netstat  -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500  0  14639   0      0      0    5705    119    0     0   BMRU

Iface:  网卡
RX-OK RX-ERR RX-DRP RX-OVR : 网卡正确接收数据包的数量以及发生错误、流失、碰撞的总数
TX-OK TX-ERR TX-DRP TX-OVR : 网卡正确发送数据包的数量以及发生错误、流失、碰撞的总数

 

huaishu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCPDUMP 的详细说明
09-13
### TCPDUMP 的详细说明 #### 一、TCPDUMP 概述 TCPDUMP是一款功能强大的网络数据包抓取工具,它可以帮助用户捕获并分析网络中的数据包信息,从而实现对网络流量的监控与故障排查。由于其灵活性与高效性,在网络...
tcpdump命令简单使用
04-11 174
TCPDUMP简单介绍[@more@]tcpdump命令行参数说明更详细的参数信息,请使用man tcpdump命令查看。本节只做简单介绍tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件...
tcpdump用法大全
weixin_34248118的博客
07-13 70
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是必不可少的。所以,今天我们就来看看Linux中强大的网络数据采集分析工具——TcpDump。用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具.作为互联网上经典的的系统管理员必备工具,tcpdump以其强...
tcpdump 本机回环,应该用tcpdump -i lo
weixin_34125592的博客
12-31 184
tcpdump 本机回环,应该用tcpdump -i lo 转载于:https://www.cnblogs.com/unixshell/p/3499812.html
超级详细Tcpdump 的用法(抓取回环网口的包:tcpdump -i lo, 防止包截断:tcpdump -s0)
happylzs2008的专栏
10-07 7672
https://www.cnblogs.com/maifengqiang/p/3863168.html 1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机...
tcpdump 命令详解
冬的博客
01-22 2635
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n 关键字说明  第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是...
tcpdump 说明文档
08-30
tcpdump是一款功能强大的网络数据包捕获和分析工具,它能帮助用户监控和解析网络通信。根据提供的部分内容,我们可以深入探讨几个关键知识...掌握tcpdump使用技巧,对于提升网络监控能力和问题解决效率具有重要意义。
tcpdump中文手册
11-03
以下是对tcpdump的详细说明: 1. **tcpdump命令结构**: tcpdump的命令行格式比较灵活,支持多种参数和选项。基本格式如下: ``` tcpdump [ -a d e f l n N O p q S t v x ] [ -c 数量 ] [ -F 文件 ] [ -i ...
tcpdump.zip
06-03
tcpdump是一款广泛使用的网络封包分析软件,它能够实时捕获网络上的数据包,并进行解析,帮助用户了解网络通信的情况。在IT领域,尤其是网络诊断、安全分析和故障排查中,tcpdump是不可或缺的工具之一。这个...
tcpdump抓取工具和使用说明
03-26
在Android设备上使用tcpdump,可以深入洞察移动应用的网络行为,这对于开发者调试、网络管理员监控网络流量以及安全研究人员分析潜在的网络安全问题都非常有帮助。 首先,了解tcpdump的基本用法是非常关键的。在...
Wireshark详细中文版使用说明书.pdf
08-22
Wireshark使用说明中还介绍了如何设置显示和抓包过滤器,这些过滤器可以通过Wireshark规则编辑,利用特定的语法和连接符来新建规则。例如,可以设置显示过滤器以仅查看特定类型的网络流量,而抓包过滤器则可以在抓包...
tcpdump抓包
03-16
#### 四、tcpdump常用参数说明 - **-i**:指定监听的网络接口。 - **-v**:增加输出的详细程度,可以多次使用(-vv、-vvv)。 - **-nn**:禁止DNS反向解析,显示IP地址而非主机。 - **-c**:设置捕获的最大数据包...
OpenWrt 上运行的tcpdump
08-21
以下是对OpenWrt环境安装和使用tcpdump的详细说明: 首先,OpenWrt是一个轻量级的Linux发行版,特别设计用于路由器和其他嵌入式设备。它提供了丰富的软件包管理系统,允许用户安装和管理各种实用工具,如tcpdump。 ...
tcpdump使用
pinghuqiuyue9的博客
12-04 304
tcpdump介绍 tcpdump是一个运行在命令行下的抓包工具。它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。tcpdump 适用于 大多数的类Unix系统操作系统(如linux,BSD等)。类Unix系统的 tcpdump 需要使用libpcap这个捕捉数据的库就像 windows下的WinPcap。 在学习tcpdump前最好对基本网络的网络知识有一定的认识。 tcpdump命令格式及常用参数 Tcpdump的大概形式如下: 例:tcpdump –i et.
tcpdump命令
运维小白_CSDN的博客
10-30 336
实用命令实例 普通情况下,启动tcpdump将监视第一个网络接口上面所有流过的数据包 tcpudmp     监控制定网络接口的数据包 tcpdump -i eth0   打印所有进入或离开sundown的数据包 tcpdump host sundown  也可以指定IP,截获所有139.199.32.44的主机收到的和发出去的所有的数据包 tcpdump host 139.199.32.4...
tcpdump用法
IT架构师
01-29 1228
tcpdump用法 参考资料 https://www.tcpdump.org/manpages/tcpdump.1.html
tcpdump使用详解
SL_ss123的博客
10-10 2209
tcpdump使用
Linux tcpdump使用方法
最新发布
04-07
Linux tcpdump是一个命令行工具,用于抓取和分析网络数据包。它可以帮助你捕获网络数据包,以便你可以分析网络通信问题和安全问题。使用tcpdump需要具备一定的网络知识和命令行操作经验。常用的命令参数包括-i(指定网络接口)、-n(禁止域解析)、-s(指定抓取数据包的长度)、-w(将抓取的数据包保存到文件中)等。你可以通过man tcpdump命令查看更详细的使用说明
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值